01
Mantén todos tus equipos actualizados. Los fabricantes están continuamente mejorando sus productos en prestaciones y seguridad. Permite que los sistemas operativos de tus PCs, móviles, etc se actualicen cuando los fabricantes distribuyan nuevas versiones o parches. Igualmente mantén actualizados los drivers o firmwares de tus dispositivos, utilizando para ello EXCLUSIVAMENTE el software oficial distribuido por el fabricante. Si tienes dudas, antes de proceder a una instalación, contacta con el servicio de atención del fabricante.
02
Utiliza aplicaciones legales y conocidas. Es más probable que tengas un problema de seguridad si utilizas software o aplicaciones de un fabricante desconocido y más aún si han sido obtenidas fuera de los application markets de los principales sistemas operativos (p.e. en el entorno Android, ficheros APK no obtenidos de Google Play). Ni qué decir tiene el riesgo que se corre al instalar o utilizar software ilegal. Revisa y ten sentido común respecto de los permisos que das cuando instalas una aplicación, p.e. en tu móvil (¿realmente, tiene sentido dar permiso de acceso a nuestra libreta de contactos o a la red WiFi a la que estemos conectados cuando instalamos en nuestro móvil una calculadora financiera que nos gusta?).
03
Si es posible, mantén equipos diferentes para el trabajo y para el ocio. Lo ideal sería que tus equipos de trabajo utilicen solo y exclusivamente las aplicaciones legales que necesitas para trabajar y que, tanto el equipo, como las aplicaciones, hayan sido plataformados, instalados y configurados por el experto en informática de nuestro negocio.
04
Si un equipo o servicio va a ser utilizado por varias personas, es altamente recomendable que cada una tenga un usuario propio que tenga exclusivamente los permisos de acceso y ejecución estrictamente necesarios para sus funciones. No se trata solo de prevenir un uso inadecuado por malicia, sino que un mero error involuntario acabe produciendo un daño de alta extensión.
05
Utiliza siempre que puedas conexiones por cable en vez de inalámbricas. Las conexiones por cable son más robustas y rápidas que las conexiones inalámbricas. Cuando hay muchos dispositivos conectados por WiFi a un mismo router o punto de acceso, es posible que haya momentos de saturación. Igualmente, los dispositivos inalámbricos de vecinos próximos pueden interferir las bandas de radio que utiliza nuestro WiFi (especialmente si utilizamos las tecnologías más veteranas de 2,4 Ghz) provocando interrupciones y disminuciones de la calidad de la conexión. Asimismo, aunque nuestras conexiones WiFi estén encriptadas (habitualmente con un protocolo WPA (1)), una conexión inalámbrica siempre es más susceptible de ser interceptada.
06
Si accedes a la Red de Área Local de tu empresa desde tu hogar o, especialmente, desde una localización pública externa, considera muy seriamente dotarte de un mecanismo de Red Privada Virtual (VPN (2), Virtual Private Network). Además, las redes públicas abiertas (WiFis de lugares de ocio, comercios, etc) son especialmente peligrosas, no solo debido a la posibilidad de que un tercero acceda a la información que en ese momento estamos trasmitiendo o recibiendo, sino porque, ADEMÁS, pueden ser una potencial vía de intrusión (hacking (3)) en nuestro equipo o las redes a las que estemos conectados.
07
Sé precavido con los correos electrónicos que recibas y utiliza tu sentido común. Desconfía de aquellos que provienen de fuentes extrañas, especialmente si te piden que abras ficheros anexos, pinches en enlaces o, muy especialmente, les facilites datos personales para trámites que no has solicitado. Los bancos NUNCA te piden tus datos personales o de acceso a tus cuentas: no los necesitan, porque ya los tienen.
08
No es aconsejable facilitar datos personales dentro de webs que no tengan navegación segura HTTPS (4), y muy especialmente, NUNCA des tu identificación personal o corporativa (DNI, CIF, nº Seguridad Social, etc), o datos bancarios (nº de cuenta corriente, tarjetas de crédito o débito, etc) en un sitio que no use navegación segura. Si las webs de tu negocio no utilizan navegación segura, es el momento de que empiecen a hacerlo: no solo ganarás confianza con tus clientes, sino que incluso mejorarás tu SEO.
09
No utilices aplicaciones colaborativas abiertas para compartir información sensible. GitHub, Bitbucket, etc son aplicaciones muy útiles con un fantástico enfoque colaborativo, pero no son las más adecuadas cuando en nuestro proyecto debamos tener un especial cuidado con la confidencialidad o privacidad del mismo.
10
El INCIBE es el Instituto Nacional de Ciberseguridad de España y es la entidad española de referencia en temas de ciberseguridad y confianza digital. El INCIBE pone a disposición de ciudadanos, empresas y entidades pública y privadas múltiples recursos, no solo para dar respuesta a incidentes de seguridad, sino también para promocionar el conocimiento y la cultura de ciberseguridad: entre estos recursos pueden ser especialmente útiles para nosotros la formación y las herramientas de autodiagnóstico de la seguridad de nuestro negocio. Asimismo, el INCIBE ha habilitado para ciudadanos y empresas el Teléfono Gratuito de la Ciberseguridad 017 como servicio público de asistencia en ciberseguridad, en el que nos pueden ayudar a resolver dudas, recibir consejos o canalizar incidentes de seguridad.
(1) WPA: (siglas en inglés de WiFi Protected Access) es un protocolo de seguridad para las conexiones WiFi desarrollado por la WiFi Alliance. Utiliza una encriptación de 128 bits para los datos que se transmiten a través de la conexión, de tal forma que estos no puedan ser interceptados por un tercero. El WPA se desarrolló en 2003 para sustituir al anterior estándar de seguridad, el WEP, que era muy poco robusto. Existen diversas versiones de WPA, siendo la versión 2 (WPA2) la más extendida, ya que mejora significativamente la fortaleza de este protocolo respecto de la versión inicial (WPA). Para conectarse a una red WPA hace falta una clave de acceso, que debe de ser suficientemente “robusta” como para no facilitar su ruptura mediante un ataque de “fuerza bruta”: claves del tipo “0000”, “1234”, nuestro nombre o el de nuestra empresa y similares son claves muy débiles que serán fácilmente rotas. Es muy recomendable que las claves que usemos sean de una longitud ≥ 8 caracteres y contengan mayúsculas, minúsculas, números y algún signo especial. Asimismo, es recomendable cambiar el nombre red y la clave de acceso facilitados por defecto por el fabricante del router inalámbrico o por nuestro operador: un nombre de red propio y unas claves propias robustas son menos susceptibles de ser rotas por un ataque de fuerza bruta.
(2) VPN: (siglas en inglés de Virtual Private Network, es decir, Red Privada Virtual) es una forma segura de conectarse a través de Internet a una red local (LAN) privada, como puede ser la de nuestra empresa, así como de mantener la confidencialidad de la navegación que estemos realizando. Nuestra conexión es cifrada y encapsulada por una serie de protocolos de seguridad que hacen que viaje por un “túnel” que oculta nuestra identidad y datos a toda la infraestructura de internet que atravesamos hasta llegar al servidor VPN. Este servidor puede ser propio (es decir, instalado en la red local de nuestra oficina) o puede ser ajeno (es decir, puede ser un servicio de VPN contratado con un proveedor externo, el cual nos asegura la confidencialidad de nuestra conexión hasta llegar a sus instalaciones). Si vamos a acceder a la red local de nuestra oficina a través de Internet (p.e. por teletrabajo) o muy especialmente, si usamos accesos públicos (WiFis públicas, conexiones de hoteles o comercios…) y queremos mantener nuestra confidencialidad, es altamente recomendable disponer de un servicio VPN.
(3) Hacking: es un término que originalmente hacía referencia a las pequeñas bromas o trucos (“hacks” en su jerga) que se hacían entre programadores de las universidades tecnológicas norteamericanas alrededor de los años 70. (La primera vez que se usó el término hacking en relación con la informática fue en el MIT, en la década de los 60). Actualmente se refiere a la aplicación de la tecnología o el conocimiento técnico para superar los sistemas y procedimientos de seguridad informática. Saltarse los sistemas de seguridad puede tener una motivación ilegal (p.e. cuando se pretende hacer un uso no consentido del acceso con algún tipo de lucro personal) o, en la menor parte de los casos, puede tener una mera motivación de superar un reto tecnológico o incluso de identificar “agujeros de seguridad” para advertir del riesgo que se está corriendo a la comunidad o a la empresa. (Este último caso sería lo que habitualmente se denomina “ethical hacking”).
(4) HTTPS: (siglas en inglés de HyperText Transfer Protocol Secure, es decir, Protocolo Seguro de Transferencia de Hipertexto) es un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos que se intercambian entre un usuario y un sitio web, los cuales no pueden ser, ni accedidos, ni alterados, por un tercero. El protocolo HTTPS utiliza una capa de transporte segura (SSL/TLS) que encripta los datos de navegación utilizando una clave de una determinada longitud (típicamente 128 bits), consiguiendo que la información intercambiada, que puede ser la identificación del usuario y su clave de acceso, los datos de su tarjeta de crédito, etc. resulte indescifrable para un tercero que hubiese podido interceptar la comunicación de alguna manera. Puedes saber si el sitio al que te conectas utiliza navegación segura si su dirección en el navegador empieza con “https://…” la cual viene precedida, habitualmente, por el icono de un candado en el navegador.
